사용자 로그인 페이지는 속도 제한의 어떤 형태도 구현하지 않습니다

작성자 M0X0101 프로그램 webhacking.kr

WEB 종료됨(무효) 낮음 보상없음 작성일: 2022년 6월 24일 (2년 전) 마지막 업데이트일: 2022년 7월 17일 (2년 전)

취약점 유형

상세내용

summary

As a best practice a login page should have a rate limitting

Reproduction process

try to login
intersept the requist with burpsuite
sent the requist to intruder and chose the password filed
pest a list of passwods and start attack
if the password is true we will get 274 as length

Possible cause of vulnerability

you didnt make any rate limte for trying to login

How to patch

make some rate limite or use capcha

Expected results and impact

attacker can get account take over

Other notes and references

https://hackerone.com/reports/410451

타임라인

M0X0101 님이 티켓을 제출했습니다. 2022년 6월 24일 (2년 전)

rubiya MANAGER 님이 위험도를 '중간'에서 '낮음'으로 변경했습니다. 2022년 6월 26일 (2년 전)

rubiya MANAGER 님이 상태를 '제출됨'에서 '종료됨(무효)'으로 변경했습니다. 2022년 6월 26일 (2년 전)

rubiya MANAGER 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2022년 6월 26일 (2년 전)

rubiya MANAGER 님이 댓글을 남겼습니다. 2022년 6월 26일 (2년 전)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.

M0X0101 님이 댓글을 남겼습니다. 2022년 6월 29일 (2년 전)

안녕하세요, 계정 인수가 매우 낮은 영향을 어떻게 설명할 수 있습니까…!? 나는 이것을 이해할 수 없습니다. 두 보고서를 보면 공격자가 사용자 ID 목록을 대학에 등록할 수 있으므로 매우 낮지 않은 매체라는 것을 알 수 있습니다. 사용 ID 열거 및 비 속도 제한이 있으며 이 목록과 매우 큰 암호 목록을 사용합니다. 비율 제한이 없는 경우 계정을 인계받기 위해